Índice:
As empresas estão sendo alvo de ataques cibernéticos a um ritmo alarmante. As principais violações na Target em dezembro de 2013 e Neiman Marcus em janeiro de 2014 destacaram as inadequações que muitos pontos de venda têm em sua infraestrutura de segurança. Como resultado, mais e mais empresas, grandes e pequenas, estão sentindo a necessidade de aumentar seus esforços e ter uma equipe de segurança dedicada.
De acordo com um relatório divulgado pela Reuters em maio de 2014, várias grandes empresas, como Pepsi e JPMorgan Chase & Co., estão em busca de novos CISOs (Chief Information Security Officer) em uma tentativa de reforçar as práticas de segurança. O que isso reflete é uma maior conscientização sobre segurança e sua importância no nível executivo da empresa.
Os CISOs e os diretores de segurança cibernética estão imersos na segurança de sua tecnologia, tanto para o empregador quanto para o cliente, mas seus papéis e responsabilidades estão se tornando mais pronunciados e imperativos aos olhos do público em geral, não apenas entre a comunidade de segurança.
"Cinco anos atrás, a segurança da informação mal superou as 10 principais preocupações dos conselhos. Um ano atrás, era o número 2. Interessantemente agora é a segurança de dados e não apenas a segurança da informação", diz David Boehmer, sócio-gerente regional da empresa de recrutamento Heidrick & Lutas, em um vídeo do YouTube produzido pela empresa.)
O que um CISO faz
O papel de um CISO pode ser bastante amplo, e eles geralmente se vêem usando muitos chapéus diferentes. O trabalho envolve tudo, desde a segurança interna, como gerenciar a segurança da propriedade intelectual, até ser responsável pela segurança do cliente.
"Também trabalho com nossa equipe de produtos e engenharia para implementar recursos no produto que possam ser interessantes para os compradores de segurança", diz Joan Pepin, CISO da Sumo Logic.
Enquanto a violação do Target no ano passado certamente fez muita gente falar, Pepin explica que ela não ficou tão surpresa - e nem a maioria da comunidade de segurança. Isso não quer dizer que a comunidade de segurança não tenha tido seus "momentos decisivos", onde todos precisavam reforçar seu trabalho no futuro.
A violação da RSA em 2011, na qual hackers violaram os servidores da empresa de segurança da informação e roubaram tokens de autenticação que forneciam acesso a dados corporativos e governamentais confidenciais, teve muitos profissionais de segurança envolvidos. Como uma empresa de segurança poderia ser vítima de hackers assim? Apenas dois anos depois, essa preocupação mudaria para uma meta que já havia voado sob o radar: clientes de varejo. Ataques como os vistos na Target e Neiman Marcus mudaram a atenção para a segurança do cliente comum.
"Claramente, quando você tem uma operação de varejo massiva com milhares e milhares de funcionários, todos esses locais diferentes, máquinas de ponto de venda, esse é o tipo mais pobre de sistema e o fato de que esses tipos de ataques não ocorreram naquele tipo de escala mais cedo é realmente uma surpresa para mim ", disse Pepin.
O problema decorre de a segurança ser vista apenas como uma caixa de seleção para as empresas marcarem e saírem, e não um aspecto constantemente policiado de seus negócios. Isso não significa que os cibercriminosos são relaxados e podem simplesmente entrar. De fato, os cibercriminosos estão se tornando cada vez mais qualificados.
"foi uma violação bastante sofisticada, capaz de representar o agente da BMC e esses tipos de coisas furtivas. Participar de movimentos laterais em toda a rede Target foi bastante inteligente", disse Pepin.
"Não quero me afastar disso, mas em termos de dificuldade no alvo, sem trocadilhos, nunca colocaria nenhuma cadeia de varejo em uma lista de alvos difíceis. Empresas de segurança são alvos difíceis, o governo é um alvo difícil." Em uma cadeia de varejo cujo negócio é vender meias, eu não esperaria que elas fossem uma loja super segura ".
O cenário para profissionais de segurança
Em junho de 2014, a Target contratou seu primeiro CISO, Brad Maiorino, ex-executivo da General Motors que supervisionará uma revisão geral das práticas de segurança da empresa.
As empresas, independentemente de seu campo ou tamanho, precisarão observar e aprimorar seu jogo de segurança em resposta a ameaças cada vez maiores, com maior conscientização e mais autoridade para agir em possíveis violações.
"Ficou claro … no caso da Target, foram gerados alertas aos quais ninguém respondeu e que, na minha experiência proveniente da segurança gerenciada, é extremamente típico", disse Pepin.
"O melhor sistema de detecção de intrusões do mundo ainda possui uma taxa de falsos positivos muito alta e, portanto, os responsáveis pela segurança são treinados basicamente por seus sistemas para ignorá-los. Existe uma lacuna tecnológica na interação humana lá, onde os funcionários que prestam socorro ficam insensíveis aos milhares de alertas de que eles são lixo. No caso da Target, houve alguns sinais que não foram seguidos que poderiam ter ajudado a minimizar o impacto muito mais cedo ".
Como geralmente é o caso, um profissional de segurança não pode agir imediatamente sobre um problema, porque precisa de autorização ou aprovação de alguém mais acima na hierarquia. Isso precisa mudar, diz Pepin, explicando que a equipe de segurança de uma empresa deve ter mais autonomia e autoridade para tomar a iniciativa.
"Sinto que ainda é uma questão de governança que os diretores de segurança da informação não devem se reportar aos CIOs", diz Tom Kellermann, diretor de segurança cibernética da Trend Micro. "Eles devem se reportar diretamente ao diretor de risco ou ao CEO". Isso elimina muitos intermediários e garante um tempo de resposta mais rápido a possíveis emergências.
Pepin concorda que os profissionais de segurança devem "reportar ao topo" em sua empresa. "Tenho a sorte de relatar ao nosso CEO. Isso funciona muito bem e isso é algo que eu realmente recomendaria para qualquer organização que leve a sério a segurança".
Outros orçamentos e segurança para PME
Contratar um CISO e expandir sua equipe de segurança é ótimo se você tiver o orçamento, mas e as empresas menores? Embora um ataque a uma pequena cadeia ou à sua loja de hardware local não traga os mesmos benefícios para os hackers que atingir um Target ou Neiman Marcus, ainda não é aconselhável se deixar vulnerável de qualquer forma. Então, o que você pode fazer para reduzir o risco de ataque? Pepin recomenda vivamente a contratação dos serviços de um contratado ou consultor em resposta a incidentes.
"No caso de ser atacado, você tem alguém para ligar, para não abrir o Google e começar a procurar", disse ela.
Isso fará mais sentido econômico para uma empresa menor, ela explica, pois os negócios só usarão os serviços quando forem necessários. Esses serviços também são extremamente especializados em descobrir onde sua equipe parou.
"Você pode ter uma equipe fantástica para triagem, entendendo que está sendo atacado, mas esse não é exatamente o mesmo conjunto de habilidades necessárias para responder a esse ataque, direcioná-lo para fora da sua rede e coletar as evidências da maneira que puder. ser usado em um tribunal. "
As empresas têm muitos recursos à sua disposição para combater o cibercrime. A história recente sugere que outro grande ataque está chegando.